CVE-2026-27013

Nome do Software Vulnerável e Versões Afetadas Versões do Fabric.js anteriores à 7.2.0

Descrição O Fabric.js é uma biblioteca JavaScript de canvas HTML5 suscetível a um problema de cross-site scripting (XSS) armazenado durante a exportação SVG. A biblioteca aplica escapeXml() ao conteúdo de texto durante a exportação SVG, mas não o aplica a outros valores de string controlados pelo usuário interpolados na marcação de atributos SVG. Quando JSON controlado por um atacante é carregado por meio da função loadFromJSON() e exportado posteriormente usando toSVG(), valores não escapados podem escapar dos atributos XML e injetar elementos SVG arbitrários, incluindo manipuladores de eventos. Aplicações que aceitam JSON fornecido pelo usuário por meio de loadFromJSON(), compartilhamento colaborativo, recursos de importação ou plugins de CMS, e que renderizam a saída de toSVG() em um contexto de navegador (como pré-visualizações de SVG, downloads de exportação renderizados na página ou modelos de e-mail) são potencialmente vulneráveis. Um atacante poderia executar JavaScript arbitrário na sessão do navegador da vítima. O código vulnerável está localizado em src/shapes/Text/TextSVGExportMixin.ts:186.

Recomendações Versões anteriores à 7.2.0 devem ser atualizadas para a versão 7.2.0 ou superior.